Una registrazione sul sito FIFA bastava per arrivare alle dirette TV dei Mondiali e trasmettere qualsiasi cosa

di

Sergio Donato

La falla esponeva gli ingressi video del Mondiale 2026 e avrebbe permesso di inviare immagini alternative ai broadcaster. La FIFA non ha neppure un canale per segnalare vulnerabilità

Con una registrazione sul portale pubblico degli agenti FIFA e un documento d'identità, BobDaHacker, una ethical hacker, ha ottenuto le credenziali per accedere in lettura e in scrittura ai feed live di tutte le telecamere del Mondiale di calcio 2026. Ha scoperto la vulnerabilità la notte del 15 giugno, durante partite attive. L'ha segnalata. Nessuno della FIFA ha risposto.Che ruolo hai in FIFA? Nessuno. Ok, entra pure

Tutto parte dal fatto che il portale agents.fifa.org è aperto al pubblico (al momento è irragiungibile). Chiunque può registrarsi presentando un documento, verificare l'e-mail e ricevere un account. Quella registrazione aggiunge automaticamente l'utente al tenant Microsoft Entra della FIFA, il sistema di gestione delle identità aziendali che autentica tutte le piattaforme interne dell'organizzazione. In teoria, senza ruoli assegnati, l'accesso dovrebbe fermarsi lì.